Guide pour la description de la sécurité interne dans le rapport de sécurité
Division du contrôle des risques chimiques
Cette brochure peut être obtenue gratuitement auprès de la:
Division du contrôle des risques chimiques Service Public Fédéral Emploi, Travail et Concertation sociale
Rue Ernest Blerot 1 1070 Bruxelles Tél: 02/233 45 12
E-mail: CRC@emploi.belgique.be
Cette brochure peut également être téléchargée à partir du site internet suivant:
https://emploi.belgique.be/drc
Deze brochure is ook verkrijgbaar in het Nederlands.
La rédaction de cette brochure a été clôturée le 12 juin 2020.
Editeur responsable:
SPF Emploi, Travail et Concertation sociale Groupe de travail: Isabelle Borgonjon, Michiel Goethals, Isabelle Rase, Peter Vansina Référence: CRC/IN/020-F
Version: 2
Dépôt légal: D/2020/1205/29 Couverture: Sylvie Peeters
Introduction
Selon l’article 12 de l’Accord de Coopération entre l’Etat fédéral, la Région flamande, la Région wallonne et la Région de Bruxelles-Capitale concernant les dangers liés aux accidents majeurs impliquant des substances dangereuses1, l’exploitant d’un établissement seuil haut2 doit introduire un rapport de sécurité.
Différents services d’évaluation qui doivent évaluer le rapport de sécurité sont désignés dans l’accord de coopération. Chacun de ces services d’évaluation évalue les rapports de sécurité par rapport à leurs compétences.
La Division du contrôle des risques chimiques (DRC) est compétente pour la sécurité des travailleurs dans les entreprises Seveso, appelée en abrégé ‘sécurité interne’ par la suite.
La DRC est aussi bien un service d’évaluation qu’un service d’inspection.
Ce guide décrit les attentes de la DRC par rapport à l’information sur la sécurité interne dans le rapport de sécurité et veut présenter une méthode de travail pratique pour décrire cette information.
Cette note part de l’hypothèse que la sécurité interne et la sécurité externe sont décrites dans des parties séparées du rapport de sécurité. Il ne s’agit pas d’une obligation
formelle mais bien d’une approche évidente vu que cela concerne des problématiques complémentaires avec leurs propres méthodes d’analyse et critères d’évaluation. De plus les sécurités interne et externe sont évaluées par différents services, de sorte qu’une approche modulaire présente des avantages aussi bien pour les rédacteurs que pour les évaluateurs du rapport.
La note d'information "Guide pour la description de la sécurité interne dans le rapport de sécurité" (CRC/IN/020-F), dont la première version a été publiée en 2015, remplace la publication CRC/IN/008 ‘Guide pour rédiger un rapport de sécurité’ de 2001. Cette publication comprenait déjà aussi une section ‘sécurité interne’. La présente note est donc une actualisation des directives pour la description de la sécurité interne de 2001.
Pour les autres parties du rapport de sécurité, qui ne sont donc pas abordées ici, nous
1 Appelé accord de coopération dans la suite de cette publication
2 Un établissement seuil haut est un établissement où des substances dangereuses sont présentes en quantités égales ou supérieures à la quantité mentionnée à l’annexe I de l’accord de coopération, parties 1 et 2, colonne 3.
faisons référence au contenu minimal fixé dans l’accord de coopération et aux directives rédigées par les autres services d’évaluation.
La méthode de travail pour décrire les risques et les mesures, présentée dans cette note, diffère profondément de l’approche du guide de 2001. Dans la note de 2001, le modèle de base était le ‘nœud papillon’; dans cette publication, on suit le modèle des ‘couches de protection’ successives et complémentaires. Afin d’éviter toute confusion avec les
définitions courantes de ‘couches de sécurité’, nous parlons dans cette publication de huit
‘fonctions de sécurité’. Chaque fonction de sécurité correspond à une stratégie
déterminée pour prévenir des libérations indésirées ou en limiter les conséquences. Ces fonctions de sécurité ont été introduites dans la note d’information CRC/IN/002 ‘Etude de sécurité de procédé’. Les explications sur les fonctions de sécurité dans la présente publication en sont donc en grande partie reprises.
La DRC est d’avis qu’une méthode de travail sur base des fonctions de sécurité est plus facile à utiliser pour les entreprises, parce que cela permet de présenter les informations de façon modulaire, à savoir par fonction de sécurité. De plus, il apparait qu’en pratique, ces fonctions de sécurité font l’objet d’études séparées et sont donc spécifiées plus ou moins de manière indépendante l’une de l’autre. Les informations sur ces fonctions de sécurité sont en d’autres mots également déjà présentes sous forme modulaire dans beaucoup d’entreprises.
La structure et la méthode de travail qui sont présentées dans cette note ne sont pas obligatoires. Les rapports de sécurité seront évalués sur leur contenu plutôt que sur leur forme. Les entreprises peuvent décrire dans le rapport de sécurité les informations
demandées dans ce guide, d’une autre manière que celle proposée ici. Un certain nombre d’entreprises disposent déjà d’un rapport de sécurité au moment de la publication de cette note. La publication de ce guide ne signifie pas que la description des risques internes dans ces rapports doit être transformée en une structure sur base des 8 fonctions de sécurité.
Il est par contre recommandé que les entreprises vérifient dans le cadre de la révision périodique de leur rapport de sécurité si l’information demandée dans cette note, est présente dans le rapport. La présente note est en effet plus spécifique et plus détaillée que le précédent guide. La DRC s’attend à ce que les rapports soient complétés avec les informations manquantes lors d’une révision. La plupart du temps, ces informations supplémentaires pourront être ajoutées dans le rapport en tant que sections
indépendantes.
La formulation de critères plus détaillés au sujet du contenu du rapport a pour effet inévitable que certains rapports, répondant aux anciens critères vagues, présenteront maintenant certains manquements par rapport aux nouveaux critères. La DRC est cependant persuadée que l’élaboration de critères plus détaillés donnera plus de soutien aux rédacteurs d’un rapport et plus de confiance au sujet de la conformité du rapport.
Des critères plus détaillés délimitent en effet non seulement mieux la quantité minimale d’informations attendues dans un rapport, mais donnent aussi plus clairement la limite supérieure pour ces informations.
La deuxième version de cette note a été publiée en 2020. On y fait la distinction entre une partie publique et une partie non publique du rapport. Cette distinction a été
introduite pour limiter la diffusion d'informations potentiellement sensibles (relatives à la sécurité publique). Sur le plan du contenu, les lignes directrices pour l'établissement du rapport de sécurité n'ont pas été modifiées. La distinction entre une partie publique et une partie non publique est essentiellement un transfert de certaines informations vers une annexe non publique du rapport.
Table des matières
1 Considérations générales et directives ... 7
1.1 Les objectifs du rapport de sécurité ... 7
1.2 Une structure sur base de fonctions de sécurité complémentaires ... 9
1.3 Scénarios d’accidents majeurs ... 10
1.4 L’utilisation de la documentation disponible ... 10
1.5 Mesures et études planifiées ... 11
1.6 Une partie publique et une partie non publique ... 11
1.7 L’évaluation du rapport de sécurité par la DRC ... 13
1.8 La révision quinquennale du rapport de sécurité ... 13
2 Explication succincte des fonctions de sécurité ... 15
2.1 Maîtrise des déviations de procédé ... 15
2.2 Maîtrise de la dégradation des enveloppes ... 17
2.3 Limitation des quantités libérées ... 18
2.4 Gestion de la dispersion des substances et de l’énergie libérées ... 19
2.5 Eviter les sources d’inflammation ... 20
2.6 Protection contre l’incendie ... 21
2.7 Protection contre les explosions ... 23
2.8 Protection contre le contact avec les substances libérées ... 24
3 Description de la sécurité interne dans la partie publique du rapport de sécurité .... 27
3.1 Méthode de travail suivie pour la maîtrise des déviations de procédé ... 27
3.2 Méthode de travail suivie pour la maîtrise de la dégradation ... 27
3.3 Méthode de travail suivie pour limiter les libérations accidentelles ... 28
3.4 Méthode de travail suivie pour la gestion de la dispersion des substances et de l’énergie libérées ... 28
3.5 Méthode de travail suivie pour éviter les sources d’inflammation ... 28
3.6 Méthode de travail suivie pour la protection contre l’incendie ... 29
3.7 Méthode de travail suivie pour la protection contre les explosions ... 29
3.8 Méthode de travail suivie pour la protection contre le contact avec les substances libérées ... 29
4 Contenu de l’annexe non publique ‘Sécurité interne’ ... 31
4.1 Scénarios et mesures pour la maîtrise des déviations de procédé ... 31
4.2 Scénarios et mesures pour la maîtrise de la dégradation des enveloppes... 32
4.3 Scénarios et mesures pour limiter les libérations accidentelles ... 33
4.4 Scénarios et mesures pour la gestion de la dispersion des substances et de l’énergie libérées ... 34
4.5 Scénarios et mesures pour éviter les sources d’inflammation ... 35
4.6 Scénarios et mesures pour la protection contre l’incendie ... 36
4.7 Scénarios et mesures pour la protection contre les explosions ... 37
4.8 Scénarios et mesures pour la protection contre le contact avec les substances libérées ... 37
Considérations générales et directives 1
1.1 Les objectifs du rapport de sécurité
L’accord de coopération liste les objectifs que l’exploitant doit atteindre avec le rapport de sécurité:
1. démontrer qu'une politique de prévention des accidents majeurs et un système de gestion de la sécurité pour son application sont mis en œuvre
2. démontrer que les dangers d'accidents majeurs ont été identifiés et que les mesures nécessaires pour les prévenir et pour limiter les conséquences de tels accidents pour l'homme et l'environnement ont été prises
3. démontrer que la conception, la construction, l'exploitation et l'entretien de toute installation, aire de stockage, équipement et infrastructure liés à son
fonctionnement, ayant un rapport avec les dangers d'accidents majeurs au sein de l'établissement, présentent une sécurité et une fiabilité suffisantes
4. démontrer que des plans d’urgence internes ont été établis et fournir les éléments permettant l'élaboration d'un plan d'urgence externe
5. assurer une information suffisante au service de coordination pour lui permettre de décider ou de faire des propositions à l'autorité compétente en la matière sur l'implantation de nouvelles activités ou d’aménagements autour d’établissements existants.
L’information dans le rapport de sécurité dont il est question dans ce guide, se rapporte principalement aux deuxième et troisième objectifs.
Ces objectifs comportent un devoir de preuve. L’entreprise doit fournir suffisamment de
‘preuves’ pour démontrer que les mesures nécessaires ont effectivement été prises.
Démontrer que les mesures nécessaires ont été prises, implique au moins
− que ces mesures sont nommées et décrites concrètement dans le rapport
− que ces mesures sont liées aux risques d’accidents majeurs qu’elles maîtrisent (les ‘dangers’ et les ‘scénarios’ d’accidents majeurs)
− que le rapport de sécurité argumente pourquoi l’exploitant juge que les mesures sont suffisantes pour maîtriser les risques d’accidents majeurs.
Lorsqu’il liste et décrit les mesures, l’exploitant doit essayer d’être complet et clair.
‘Complet’ signifie que l’on ne peut pas se contenter de quelques exemples (exemples d’équipements, de scénarios, de risques, de mesures, …). L’information doit être suffisamment claire de façon à être compréhensible pour les évaluateurs du rapport.
La DRC n’est pas uniquement un service d’évaluation mais aussi un service d’inspection.
Dans ce cadre, il est intéressant de mentionner les objectifs que l’accord de coopération impose à ces inspections:
− examiner si l'exploitant peut prouver qu’il a pris des mesures appropriées, compte tenu des activités exercées dans l'établissement, en vue de prévenir tout accident majeur
− examiner si l'exploitant peut prouver qu'il a pris des moyens appropriés pour limiter les conséquences d'accidents majeurs sur le site et hors du site
− examiner si les données et les informations reçues dans le rapport de sécurité ou dans un autre rapport présenté reflètent fidèlement la situation de
l'établissement.
Les deux premiers objectifs des inspections correspondent aux quatre premiers objectifs du rapport de sécurité. L’information que la DRC attend dans le rapport de sécurité en tant que service d’évaluation (et qui est décrite dans ce guide) est aussi l’information que la DRC juge pertinente en tant que service d’inspection pour accomplir sa tâche
d’inspection imposée par l’accord de coopération.
En aspirant à une qualité élevée du rapport, l’exploitant livrera une contribution constructive au système des inspections Seveso, qui forme un élément crucial dans le rôle de régulateur des autorités par rapport à la maîtrise des accidents majeurs. Un
‘mauvais’ rapport de sécurité soulèvera auprès des services d’inspection la question de savoir s’il s’agit d’une simple carence administrative ou bien d’une indication de
problèmes plus fondamentaux tels que: l’absence d’études de sécurité, la mauvaise qualité de la documentation de sécurité des procédés et le manque de mesures nécessaires pour maîtriser les risques d’accidents majeurs.
Dans ce cadre, il est important d’indiquer que la DRC accepte et même encourage le fait que lors de la rédaction du rapport de sécurité, on utilise le plus possible les informations dont l’entreprise dispose en interne. Cela n'épargne pas uniquement du travail à
l’entreprise, mais permet également de démontrer comment les informations internes sur les risques et les mesures sont gérées.
1.2 Une structure sur base de fonctions de sécurité complémentaires
Le modèle des fonctions de sécurité est décrit dans la note d’information CRC/IN/002
“Etude de sécurité de procédé”. Le principe de ce modèle est la constatation que les causes et les conséquences des libérations indésirées des installations de procédé peuvent être très diverses. Cette diversité se reflète dans les mesures que l’on peut prendre pour prévenir les libérations et en limiter leurs conséquences.
En général, les mesures que l’on peut prévoir lors de la conception des installations de procédé et des infrastructures qui les encadrent remplissent une (ou plusieurs) des fonctions suivantes:
1. la maîtrise des déviations de procédé
2. la maîtrise de la dégradation des enveloppes 3. la limitation des libérations accidentelles
4. la maîtrise de la dispersion des substances et/ou de l’énergie 5. éviter les sources d’inflammation
6. la protection contre l’incendie 7. la protection contre les explosions
8. la protection contre l’exposition aux substances libérées.
Ces fonctions correspondent aux différentes manières selon lesquelles on peut agir dans la séquence des évènements lors d’un scénario de libération.
De manière générale, nous appelons ces huit fonctions formulées “les fonctions de sécurité” d’une installation de procédé.
Une autre observation issue de la pratique est que chacune de ces fonctions de sécurité peut être considérée comme une spécialisation en soi, avec sa propre littérature et ces propres méthodologies. L’analyse de ces fonctions de sécurité est aussi la plupart du temps réalisée dans des études séparées, plus ou moins indépendantes. Le modèle des fonctions de sécurité offre donc un cadre pour diviser l’étude globale de sécurité d’une installation de procédé en différentes études partielles complémentaires.
Il est donc aussi évident d’utiliser également cette structure pour les études de sécurité de procédé pour la description des risques internes d’accidents majeurs dans le rapport de sécurité. Ainsi on obtient au sein de la partie ‘sécurité interne’, 8 sections, chacune dédiée à une des fonctions de sécurité.
Il est possible que certaines fonctions de sécurité ne soient pas pertinentes pour une installation déterminée ou même pour l’entreprise toute entière. Dans ce cas, il est attendu qu’il soit expliqué dans le rapport de sécurité pourquoi la fonction de sécurité concernée n’est pas pertinente.
1.3 Scénarios d’accidents majeurs
L’annexe II de l’accord de coopération spécifie les ‘données et informations minimales à prendre en considération dans le rapport de sécurité prévu à l’article 12’. Dans la
rubrique IV de cette annexe ‘identification et analyse des risques d’accident et moyens de prévention’, on parle d’une ‘description détaillée des scénarios d’accidents majeurs
possibles’. Dans les chapitres qui suivent, nous donnons des directives sur le contenu des scénarios, et ce spécifiquement pour chaque fonction de sécurité.
Le fait qu’un scénario pouvant survenir dans l’entreprise doit aussi être retenu comme un scénario d’un accident majeur possible et donc qu’il doit être décrit dans le rapport de sécurité, est une évaluation que chaque entreprise doit réaliser elle-même.
La définition d’un accident majeur est:
un événement tel qu'une émission, un incendie ou une explosion d'importance majeure résultant de développements incontrôlés survenus au cours de
l'exploitation de l’établissement, entraînant pour la santé humaine, à l’intérieur ou à l’extérieur de l'établissement, ou pour l'environnement, un danger grave,
immédiat ou différé, et faisant intervenir une ou plusieurs substances dangereuses.
Les notions d’‘émission d’importance majeure’ et de ‘danger grave’ sont sujettes à interprétation. De plus, les scénarios sont des évènements possibles dont les conséquences sont incertaines dans une plus ou moins grande mesure.
C’est pourquoi, il est important que l’entreprise mentionne clairement dans le rapport quels ont été les critères utilisés pour déterminer quels accidents potentiels sont des scénarios d’accidents majeurs.
1.4 L’utilisation de la documentation disponible
Les services d’inspection attachent beaucoup d’importance à une bonne documentation interne des risques et des mesures (appelée ‘documentation de sécurité de procédé’).
La documentation de sécurité des procédés est l’ensemble des documents actuels et contrôlés dans lesquels tous les risques (partiels) de libérations indésirées sur un site déterminé d’une entreprise ont été identifiés et dans lesquels les mesures qui ont été (ou seront) effectivement implémentées ont été décrites.
La documentation de sécurité des procédés n’est donc pas le rassemblement des études réalisées dans le cadre de projets ou de l’enquête d’accidents. De telles études n’ont en effet la plupart du temps qu’une portée limitée (elles se limitent à la partie modifiée de l’installation, et au sein de la partie modifiée souvent uniquement aux modifications).
Pour arriver à une documentation de sécurité des procédés, un effort supplémentaire est nécessaire pour intégrer les informations issues de projets dans un paquet d’informations actuelles liées à l’installation. L’effort supplémentaire pour rédiger une documentation de sécurité des procédés et la garder actuelle n’est pas seulement nécessaire dans le cadre du devoir de preuve. La documentation de sécurité des procédés est un outil
indispensable pour l’entreprise pour gérer les risques de procédés. Via la documentation de sécurité des procédés, la connaissance sur les risques peut être conservée au sein de l’entreprise et transmise aux nouveaux collaborateurs. La documentation de sécurité des procédés est la base de départ idéale pour la réalisation des études de sécurité
ultérieures dans le cadre de modifications et lors de la révision périodique des études de
sécurité. La documentation livre un aperçu de toutes les mesures et peut être utilisée pour vérifier si les programmes d’inspection sont complets. Il devrait aussi ressortir d’une bonne documentation de sécurité des procédés pour quelles situations on compte sur l’équipe d’intervention interne. Cette information est une donnée cruciale pour la planification d’urgence.
Pour les entreprises seuil haut, il est évident que la documentation interne de sécurité de procédé peut aussi être utilisée pour la rédaction du rapport de sécurité. Ainsi, on peut limiter considérablement les efforts rédactionnels pour la partie ‘sécurité interne’. La traduction des informations existantes en un format spécifique, seulement pour le rapport de sécurité peut être évitée en pouvant utiliser des documents disponibles qui peuvent être joints ou dont certaines parties peuvent être copiées.
L’usage de documentation interne pour le rapport de sécurité est donc certainement à recommander, aussi longtemps que cela donne une description qui:
− soit compréhensible pour un extérieur (avec un background technique et une connaissance de la sécurité de procédé, mais pas nécessairement impliqué lors de la conception ou des études de sécurité réalisées sur l’installation)
− contienne suffisamment d’informations (comme mentionné dans les chapitres suivants).
1.5 Mesures et études planifiées
Le rapport de sécurité est une déclaration formelle de l’auteur par laquelle les mesures qui y sont listées sont selon lui suffisantes pour maîtriser les risques d’accidents majeurs.
Si l’exploitant juge cependant que cela n’est pas le cas, il est important de le mentionner aussi explicitement dans le rapport.
Ainsi, il se peut qu’au moment de l’introduction du rapport, l’exploitant soit d’avis que certaines études doivent encore être réalisées (afin de pouvoir spécifier certaines
mesures nécessaires). L’objet et le planning de ces études sont alors mentionnés dans le rapport.
De même lorsque certaines mesures sont planifiées mais pas encore réalisées, le planning pour l’implémentation de ces mesures est donné.
1.6 Une partie publique et une partie non publique
Les informations détenues par un service compétent dans le cadre de l'accord de
coopération sont accessibles au public sur demande (article 22 de l’ADC). Les rapports de sécurité font l'objet d'une disposition spécifique à l'article 23, avec le principe de base que ces rapports sont disponibles sur demande auprès du service de coordination de la région concernée.
L'accès à cette information est assujetti aux règles fédérales et régionales sur l'accès du public à l'information environnementale. Ces règles prévoient certaines restrictions au droit d'accès général, notamment pour les motifs suivants :
− la protection de la sécurité publique ou de la défense nationale.
− la protection de la confidentialité des informations commerciales ou industrielles.
En ce qui concerne la protection des données commerciales ou industrielles, l'accord de coopération donne la possibilité aux établissements Seveso de demander à ne pas
divulguer certaines informations du rapport. L'équilibre entre la disponibilité de l'information pour le public et la sécurité publique est d'abord et avant tout la responsabilité des autorités.
La sécurité publique est compromise lorsque les informations contenues dans le rapport de sécurité peuvent être utilisées pour préparer des attaques contre des établissements Seveso, avec l'intention de provoquer délibérément des catastrophes chimiques majeures (explosions, nuages toxiques, ...).
C’est pourquoi il est demandé aux exploitants de ne pas inclure les informations suivantes dans le rapport de sécurité (et donc pas non plus dans une partie non publique) :
− La description des mesures de sécurité physique de l'établissement, telles que la détection des intrusions, le contrôle du périmètre, le contrôle des accès, les rondes de surveillance, les caméras de surveillance (si elles servent seulement à des fins de sécurité),…
− La description des mesures relatives à la "cybersécurité.
− Les coordonnées des personnes physiques (numéro de GSM, adresse privée).
Cette information a été ajoutée dans certains dossiers par le passé, mais elle n'est pas essentielle à l'évaluation de la maîtrise des risques d'accidents majeurs dans le sens de la réglementation Seveso. L'exclusion de ces informations des rapports de sécurité réduit à zéro le risque que ces informations tombent entre de mauvaises mains.
En ce qui concerne les informations relatives à la "sécurité interne", les exploitants sont invités à inclure la description des scénarios d'accidents majeurs et les mesures
(concrètes, spécifiques) visant à les prévenir et à limiter leurs conséquences dans une annexe distincte non publique.
Cela ne signifie pas que toutes ces informations sont par définition "sensibles" et seraient utiles aux personnes mal intentionnées. Cependant, il y a une réelle possibilité que certaines informations aient cette caractéristique. Par souci de simplicité (tant pour les exploitants que pour les autorités), nous recommandons donc que ces informations soient incluses dans leur intégralité dans une partie non publique.
Dans la partie publique, nous demandons aux exploitants de décrire l'approche adoptée dans la mise en œuvre des différentes fonctions de sécurité.
Les établissements qui disposent déjà d’un rapport de sécurité conforme à la première version de ce guide peuvent facilement préparer un rapport conforme à la deuxième version, en déplaçant la description des scénarios et des mesures vers une annexe non publique.
1.7 L’évaluation du rapport de sécurité par la DRC
L’accord de coopération demande que les services d’évaluation évaluent les rapports de sécurité dans un délai déterminé, chacun en ce qui concerne ses propres compétences.
Les conclusions de cette évaluation sont livrées à l’exploitant par le service de
coordination. Le cas échéant, le service de coordination indique quelles modifications ou compléments doivent être apportés et endéans quel délai cela doit avoir lieu.
Lors de l’évaluation du rapport de sécurité, la DRC se concentre sur l’exhaustivité et la qualité (clarté, pertinence) de l’information. En ce qui concerne la conclusion de l’évaluation par la DRC, il y a 2 possibilités:
− la constatation qu’aucune modification ou complément ne doit être apporté
− une description des modifications et compléments à apporter et un délai endéans lequel ceci doit être réalisé.
Ces conclusions ne comportent donc aucun jugement sur le degré de maîtrise des risques d’accidents majeurs. La conclusion que des informations complémentaires doivent ou non être ajoutées au dossier, ne dit en principe rien sur le niveau de sécurité dans
l’entreprise.
Bien entendu, le rapport sera par contre utilisé par la DRC pour vérifier s’il y a des
manquements concernant la maîtrise des risques d’accidents majeurs. Des manquements potentiels sur le plan de mesures techniques et organisationnelles qui ressortent lors de la lecture du rapport, feront l’objet d’inspections. Si l’existence de ces manquements est confirmée pendant les inspections, la DRC interviendra en tant que service d’inspection afin de laisser l’entreprise corriger ces manquements. Il va de soi que les corrections réalisées sont décrites dans la version suivante du rapport de sécurité.
Le fait que des directives plus précises aient été rédigées pour la partie sécurité interne, ne signifie pas que la DRC ne juge pas importants ou n’évaluera pas les autres éléments du rapport de sécurité. Pour ces autres éléments, tels que le système de gestion de la sécurité et le plan d’urgence interne, il est attendu que l’exploitant se base sur les prescriptions de l’accord de coopération et les éventuelles directives des autres services d’évaluation.
1.8 La révision quinquennale du rapport de sécurité
L’accord de coopération demande que le rapport de sécurité soit revu au moins tous les cinq ans.
La DRC s’attend à ce que la révision quinquennale du rapport de sécurité comporte une actualisation de l’information en fonction de la situation de l’entreprise au moment de la révision. Au cours du temps, toutes sortes de modifications ont lieu dans les entreprises, sur le plan technique et organisationnel. Lors de la révision périodique, le rapport de sécurité est actualisé en fonction de ces modifications. En ce qui concerne les
modifications techniques, ceci est valable uniquement lorsque l’impact sur les risques d’accidents majeurs est limité. Des modifications des installations, des procédés ou de la nature, de la forme physique ou de la quantité de substances dangereuses, qui peuvent avoir des conséquences importantes pour les dangers d’accidents majeurs, peuvent seulement être mises en œuvre après que le rapport de sécurité ait été révisé et adapté si nécessaire.
La révision périodique du rapport de sécurité implique aussi la révision périodique des études de sécurité sur lesquelles le rapport est basé. Vu la périodicité de 5 ans pour la
révision du rapport de sécurité, il s’agit aussi de la périodicité maximale pour la révision des études de sécurité des procédés.
La révision périodique des études de sécurité est une pratique qui est aussi fortement recommandée dans la littérature en matière de sécurité des procédés3. Aux Etats-Unis d’Amérique, l’OSHA4 utilise ce que l’on appelle le ‘Process Safety Management (PSM) Standard’. Ce standard est d’application pour les procédés chimiques qui contiennent plus d’une certaine quantité d’une substance dangereuse. On demande dans le standard que les analyses de risques de procédé (appelées PHA ou ‘process hazard analysis’) soient réévaluées dans un intervalle de temps de maximum 5 ans.
Afin d’étaler les efforts pour la révision des études de sécurité, certaines entreprises établissent un programme s’étalant sur plusieurs années, et où chaque année, les études de sécurité pour une partie des installations sont révisées.
Les cycles pour la révision des études de sécurité et pour la révision du rapport de sécurité ne doivent pas nécessairement être synchrones. Lors de la révision du rapport de sécurité, une entreprise qui revoit ses études de sécurité au moins tous les 5 ans, pourra toujours se baser sur les études qui ont été revues au plus tard il y a 5 ans.
Un cas spécifique est la première révision périodique d’un rapport de sécurité existant après la publication de ce guide. Comme également mentionné dans l’introduction, la DRC s’attend à ce que le contenu du rapport existant soit confronté au contenu décrit dans ce guide. Si nécessaire, les informations manquantes sont ajoutées.
3 Par exemple dans la publication “Revalidating Process Hazard Analyses”, une publication du CCPS (Center for Chemical Process Safety) de l’AIChE (American Institute of Chemical Engineers)
4 ‘Occupational Safety & Health Administration’ du ‘United States Department of Labor’
Explication succincte 2
des fonctions de sécurité
Ce chapitre explique brièvement les différentes fonctions de sécurité. Les personnes qui connaissent ces fonctions de sécurité peuvent sauter ce chapitre. Si vous souhaitez obtenir de plus amples informations sur les fonctions de sécurité, veuillez consulter notre note d'information CRC/IN/002 "Étude de sécurité des procédés".
2.1 Maîtrise des déviations de procédé
Les déviations de procédé sont des déviations par rapport au déroulement normal du procédé. Elles peuvent résulter de défauts ou d’appareils fonctionnant de manière incorrecte (par ex. des systèmes de contrôle) ou d’erreurs humaines.
Pendant la conduite normale du procédé, les paramètres de procédé tels qu’entre autres la pression, la température, les débits et les concentrations restent entre certaines valeurs minimales et maximales. Ces valeurs déterminent ce que l’on appelle la “fenêtre opérationnelle”. A côté de ces paramètres, la conduite normale du procédé est aussi caractérisée par une série de données discrètes, telles que l’ordre dans lequel certaines opérations ont lieu, la réalisation de la connexion correcte lors du (dé)chargement, la position correcte de vannes, etc.
Le confinement des substances et de l’énergie pendant le fonctionnement normal est la tâche de l’enveloppe. L’enveloppe doit être conçue et entretenue pour offrir une
résistance à toutes les influences exercées sur elle lors du fonctionnement normal (telles que les pressions et températures opérationnelles minimales et maximales, le poids des substances présentes normalement, les forces hydrodynamiques, les tensions
thermiques, les charges du vent et de la glace).
Suite à une déviation du procédé, les charges sur les équipements peuvent dépasser les maxima en cas de fonctionnement normal. Contrairement au fonctionnement normal, il n’est pas évident que les équipements puissent résister aux charges lors du
fonctionnement anormal. Les déviations de procédé peuvent donc conduire à des dommages aux équipements et à des libérations indésirées.
Des déviations de procédé peuvent aussi conduire à une libération via des ouvertures vers l’environnement. L’épanchement d’un liquide via les évents lors du suremplissage d’un réservoir de stockage atmosphérique et une percée de gaz dangereux via la sortie d’un scrubber défectueux en sont des exemples.
Finalement, une libération peut aussi avoir lieu lors de l’ouverture d’une installation, comme lors du désaccouplement des flexibles après un déchargement ou lors de l’ouverture d’un couvercle pour l’ajout manuel de produits dans un réacteur. Lors d’un fonctionnement normal, il va de soi qu’aucune libération dangereuse ne peut
normalement se produire lors de telles manipulations. Nous considérons également l’ouverture d’une installation qui n’est pas suffisamment exempte de produit ou de pression comme une déviation de procédé.
Les déviations de procédé sont typiquement maîtrisées par des mesures comme:
− les spécifications de conception des enveloppes
− les mesures de contrôle (boucles de contrôle automatiques/ manipulations des opérateurs)
− les alarmes et les interventions par le personnel opérationnel
− les sécurités instrumentales
− les sécurités mécaniques de surpression.
Pour éviter l’endommagement d’une enveloppe suite à une certaine déviation dans la conduite du procédé, on peut choisir de rendre l’enveloppe résistante à l’effet
dommageable que cette déviation entraîne.
Si l’enveloppe n’est pas résistante, on devra prendre des mesures afin de prévenir que les conditions de conception ne soient pas dépassées. Ce sont en premier lieu des mesures de contrôle qui maintiennent le procédé endéans les limites de fonctionnement normal du procédé. Si les mesures de contrôle défaillent, les mesures de sécurité seront sollicitées.
Des conditions de déviations peuvent être détectées et rapportées en alarmes vers le personnel opérationnel qui peut alors prendre une action correctrice. Si l’on choisit de faire exécuter l’action correctrice de manière automatique, on parle alors de sécurités instrumentales.
Dans certains cas, un contrôle par un opérateur réalisé avant une activité ou une étape de procédé déterminée peut également remplir la fonction d’une sécurité. Pensez par exemple au contrôle de la position correcte de vannes avant le démarrage du
déchargement d’un camion-citerne dans un réservoir de stockage, ou le contrôle de certains paramètres avant le démarrage d’une réaction batch (quantités, pression, température, …). Afin d’être considérés comme une sécurité, ces contrôles doivent être indépendants des mesures de contrôle normales et les compléter.
Les sécurités mécaniques de surpression, comme les soupapes de sécurité, les disques de rupture et les panneaux d’explosion, relâchent la surpression vers un système fermé ou vers l’environnement. Dans ce dernier cas, une libération n’est en fait pas évitée, mais on assure une libération contrôlée. Les risques de ces libérations doivent bien entendu aussi être évalués.
2.2 Maîtrise de la dégradation des enveloppes
Dans le chapitre précédent, il a été expliqué que l’enveloppe doit offrir une résistance suffisante contre les influences qui agissent sur elle pendant le fonctionnement normal de l’installation. De plus, on peut aussi choisir dans certains cas de rendre l’enveloppe
résistante contre des influences (telles que pression et température) qui se produisent lors de déviations de procédé.
La force et la résistance de l’enveloppe sont en premier lieu assurées grâce à une
conception experte et à une construction selon les règles de l’art. La résistance initiale de l’enveloppe peut toutefois diminuer au cours du temps sous l’influence de toute sorte de phénomènes de dégradation. Cela peut évidemment conduire à une libération, même si le procédé se trouve dans sa fenêtre opérationnelle normale.
Dans de nombreux cas, il est impossible d’offrir à l’enveloppe une résistance parfaite contre tous les phénomènes de dégradation auxquels l’enveloppe est exposée, et l’attaque de l’enveloppe doit être considérée comme un phénomène normal et attendu.
Cela est évidemment acceptable que si l’attaque de l’enveloppe a lieu suffisamment lentement; ainsi l’attaque peut être suivie et l’enveloppe peut être changée à temps ou réparée avant que l’attaque ne conduise à une libération.
L’identification des risques de dégradation est un processus qui doit être réalisé durant la vie complète d’un équipement: depuis la conception jusqu’au moment où l’équipement est mis hors service définitivement.
L’identification des risques de dégradation pour un certain équipement débute avec la mise en avant des conditions de dégradation auxquelles l’équipement est exposé. Sur base de cette information, un choix peut être fait pour les matériaux de construction en essayant d’éliminer ou de limiter les dégradations.
Fort de la connaissance des conditions de dégradation et des détails de construction de l’équipement, une prévision des phénomènes de dégradation attendus et de la nature de l’attaque peut être faite. Les techniques d’inspection doivent être choisies pour pouvoir détecter les formes d’attaque attendue.
Ensuite, l’analyse des phénomènes de dégradation doit être confrontée aux observations faites lors des inspections et être adaptée si nécessaire. La réalisation d’inspections fait donc partie intégrante de l’identification des risques de dégradation.
Les risques de dégradation ne sont pas des risques statiques qui peuvent être fixés à un certain moment et rester inchangés pour le reste de la durée de vie de l’installation. Les dommages aux enveloppes et les risques associés augmentent progressivement pendant la vie de l’installation. Après chaque inspection, il doit être réévalué si l’équipement est encore adapté ou non pour rester en service jusqu’à l’inspection suivante.
Eventuellement, certaines actions doivent être prises pour cela, comme par exemple la réalisation de réparations ou l’adaptation des conditions de fonctionnement. Le choix de l’intervalle d’inspection, des méthodes d’inspection et des zones de l’enveloppe à
inspecter, doivent être évalués de nouveau après chaque inspection, et le cas échéant adaptés en fonction des résultats d’inspection.
2.3 Limitation des quantités libérées
Limiter les quantités libérées est une fonction de sécurité qui intervient après qu’une fuite continue soit survenue. Cette fonction de sécurité s’adresse donc spécifiquement aux fuites continues qui durent assez longtemps pour pouvoir intervenir. Lorsque le contenu d’un équipement se libère soudainement ou pendant un très court laps de temps, on n’a en effet pas le temps et souvent pas la possibilité d’intervenir.
Les risques de libérations accidentelles augmentent avec les quantités de substances dangereuses qui peuvent être libérées. Les dommages potentiels qui peuvent être causés augmentent en fonction des quantités libérées. La probabilité d’avoir des dommages sera également plus importante en cas de plus grandes quantités. Des nuages explosifs plus grands trouveront plus facilement une source d’inflammation. Des nuages toxiques plus grands présentent une probabilité plus grande de toucher une personne que des plus petits nuages.
La probabilité de libérations importantes se présente pour des équipements qui contiennent de grandes quantités de substances. Plus le contenu d’un équipement est important, plus il est utile de prendre des mesures pour éviter que tout le contenu ne se libère suite à une fuite touchant l’équipement ou une des tuyauteries connectées.
Dès la conception des équipements de procédés et du réseau de tuyauteries, il est possible de s’attacher à la limitation des quantités libérées en cas de fuites.
Voici des exemples:
− le fait d’éviter des raccords en phase liquide
− l’utilisation de tubes plongeurs avec coupe-siphons.
Nous pouvons considérer de tels choix de conception comme des mesures “passives” de limitation de fuite. Elles sont passives parce qu’elles ne doivent pas être activées, mais en contrepartie elles remplissent toujours leur fonction.
Des mesures actives de limitation de fuite comprennent les fonctions suivantes:
− la détection de la libération (ou la menace d’une libération);
− la décision de prendre une action;
− l’exécution de l’action qui limite la libération.
Si l’on veut intervenir de manière active après qu’une fuite ait eu lieu, il est important que la fuite soit détectée le plus rapidement possible et que l’action pour limiter la fuite soit prise relativement vite. Plus on intervient rapidement, plus la limitation des quantités libérées sera importante. Le lieu et la taille de la fuite sont des paramètres pertinents à ce sujet. De très grandes fuites pour lesquelles les quantités présentes de substances dangereuses sortent en un rien de temps, ne permettent pas d’intervenir de manière active.
La plupart du temps, les mesures actives de limitation de fuite ne sont activées qu’après avoir constaté la fuite. Une exception à ce fait est par exemple la détection de la dérive d’un bateau qui ferme une vanne d’urgence sur le bateau et dans l’installation du côté quai, encore avant que la liaison de déchargement ne soit effectivement rompue.
Les actions possibles pour limiter la libération sont:
− l’isolation des équipements contenant des substances dangereuses de l’endroit où la libération a lieu;
− le pompage du contenu des équipements où la libération a lieu, vers d’autres équipements;
− la diminution de la pression engendrant ainsi une diminution du débit de fuite
− le refoulement des substances dangereuses à l’aide d’une substance non dangereuse (de l’eau le plus souvent).
Pour l’isolation des équipements de l’endroit où la libération a lieu, on utilise différents types de vannes, telles que des clapets anti-retour, des limiteurs de débit et des vannes d’urgence. Pour limiter la libération lors de la rupture de la liaison temporaire pour le (dé)chargement de camions-, wagons-citernes ou de bateaux, des liaisons break-away peuvent être placées.
2.4 Gestion de la dispersion des substances et de l’énergie libérées
Dispersion de substances
Des mesures typiques pour contrôler la dispersion de substances libérées accidentellement sont:
− des enveloppes secondaires (récipients et tuyauteries à double enveloppe)
− les encuvements
− les systèmes de récolte et d’évacuation
− la ventilation forcée
− les bâtiments fermés
− les couches de mousse sur les flaques de liquides
− les rideaux d’eau.
Une enveloppe secondaire est une deuxième enveloppe qui est apportée autour de l’enveloppe dans laquelle les substances dangereuses se trouvent.
Les encuvements et les systèmes de récolte et d’évacuation ont un objectif opposé.
L’objectif d’un encuvement est de récolter sur place le liquide libéré et éventuellement l’eau d’extinction et d’en limiter la dispersion vers l’environnement immédiat de
l’équipement protégé en attendant son élimination.
La fonction d’un système de récolte et d’évacuation est la récolte des fuites de liquides et l’évacuation immédiate vers un système de collecte ou de traitement.
Dans les systèmes de récolte et d’évacuation, certains dispositifs peuvent être installés afin de prévenir la libération de substances dangereuses dans les égouts publics, tels que des chambres de compensation, des détecteurs d’hydrocarbures, des vannes, des ballons gonflables, etc.
Un bâtiment peut empêcher ou retarder la dispersion de liquides ou de gaz et vapeurs vers l’environnement. Pour remplir cette fonction de sécurité, le bâtiment doit toutefois spécialement être conçu pour cela.
Le recouvrement d’une flaque de liquide en arrête ou diminue son évaporation. En pratique, on utilise souvent pour cela de la mousse ou de l’eau.
Les rideaux d’eau peuvent avoir les effets suivants sur les nuages de gaz et de vapeurs:
− dilution du nuage à la suite des grandes quantités d’air qui sont entrainées par les gouttelettes
− absorption des gaz ou des vapeurs par l’eau (seulement dans le cas où il s’agit de gaz ou de vapeurs solubles dans l’eau)
− apport de chaleur dans un nuage froid ce qui peut diminuer la dispersion descendante du nuage
− la formation d’une barrière physique qui empêche le déplacement du nuage gazeux.
La ventilation artificielle utilise des moyens mécaniques pour réaliser un flux d’air et est souvent appliquée au sein d’un espace fermé. On peut également encore distinguer la ventilation générale et la ventilation locale (aspiration).
Dispersion de l’énergie
L’énergie accidentellement libérée prend la forme d’ondes de pression et de missiles libérés et dispersés lors d’une explosion.
Dans cette fonction de sécurité, nous considérons des mesures agissant sur la source (le lieu où naît l’explosion). La protection de bâtiments contre des explosions externes est abordée dans une fonction de sécurité séparée.
Nous pouvons faire une distinction entre 2 situations pratiques:
− l’ignition d’une atmosphère explosive dans un local ou un bâtiment
− la rupture explosive d’équipements, par exemple des réservoirs à très haute pression, des réacteurs avec un risque élevé de réactions d’emballement ou de décomposition thermique de certaines substances, des emballages unitaires de substances explosives.
Dans des locaux ou des bâtiments où des équipements sont installés et desquels des substances inflammables peuvent être libérées, il est de pratique courante de prévoir des trappes d’explosion ou des parois faibles qui dans le cas d’une explosion, évacue l’onde de pression vers (une zone sûre dans) l’environnement. Ainsi, la surpression peut être limitée et il peut être évité que d’autres parties du bâtiment ne soit endommagée.
Une stratégie similaire est appliquée pour des équipements qui peuvent se rompre de manière explosive: ils sont protégés de l’environnement (ou d’autres parties d’un bâtiment) par des murs (qui peuvent offrir la résistance nécessaire contre les ondes de pression et les missiles attendus). Ici aussi, l’onde de pression est évacuée via des ouvertures ou des parois faibles vers une zone sûre.
2.5 Eviter les sources d’inflammation
Les sources d’inflammation peuvent être très diverses: des étincelles au sein d’appareils électriques, des charges électrostatiques, des surfaces chaudes, des flammes nues, etc.
Les sources d’inflammation peuvent trouver leur origine, non seulement dans les appareils de l’installation elle-même, mais peuvent aussi être introduites lors de l’exécution de travaux, par des véhicules ou des équipements temporaires ou par l’homme (via le chargement électrostatique des vêtements par exemple).
Les mesures les plus courantes que l’on prévoit lors de la conception d’une installation pour éviter les sources d’inflammation sont prises en fonction de la classification en zones. Une zone délimite un domaine dans l’espace où une atmosphère explosive peut se produire lors du “fonctionnement normal” de l’installation. On distingue différentes zones en fonction de la probabilité avec laquelle l’atmosphère explosive peut survenir. Les appareils présents dans les zones doivent satisfaire à certaines conditions afin d’éviter l’occurrence de sources d’inflammation.
En “fonctionnement normal”, l’installation est utilisée dans ses limites opérationnelles pour lesquelles elle a été conçue. Les libérations dont on tient compte sont plutôt des libérations limitées, principalement à la suite d’usure normale attendue ou à la suite
d’émissions dues au fonctionnement normal de l’installation. Les libérations indésirées, dont nous parlons dans le cadre de cette publication, ne trouvent généralement pas leur place lors du fonctionnement normal. Les causes sont diverses : paramètres de
conception dépassés, ou installation, par suite de dégradations qui ne satisfait plus aux critères de conception initiaux, ou impact externe. Cette sorte de libérations, lors
desquelles le plus souvent des quantités relativement grandes rentrent en jeu, n’est pas considérée lors de la classification en zones. D’une manière logique, on ne peut donc pas non plus compter sur les mesures prises dans ces zones pour prévenir une inflammation lors de grosses libérations.
La classification en zones et les mesures pour éviter les sources d’inflammation au sein de ces zones sont néanmoins une pratique importante dans la sécurité des procédés.
Cela permet de réduire la probabilité d’occurrence de petites explosions et incendies et par là, les possibilités d’escalade vers une plus grosse calamité.
Des exemples de mesures qui sont prises pour éviter l’inflammation de grands nuages (libérés lors du fonctionnement anormal de l’installation) sont:
− distances de sécurité vis-à-vis d’équipements avec des sources d’inflammation permanentes (fours, torchères, …)
− usage de matériel Ex dans une étendue plus large que les zones classées
− mesures pour éviter les courants vagabonds qui peuvent, lors de la déconnexion d’une liaison de déchargement entre le bateau et le quai, engendrer une étincelle au même moment que des substances inflammables sont libérées
− détection d’un nuage explosif et mesures pour limiter les sources d’inflammation (par ex. arrêt du trafic et de l’exécution de travaux dangereux, la mise hors tension de certains appareils).
− isolation thermique spécialement mise en oeuvre (destinée à éviter l’inflammation par contact avec des surfaces chaudes).
Nous considérerons également les sources d’inflammation internes dans les scénarios. Si on le souhaite, on peut aussi traiter cette problématique dans la fonction de sécurité
‘maîtrise des déviations de procédé’ dans des scénarios d’explosion interne.
2.6 Protection contre l’incendie
Différents types d’incendie sont possibles dans les installations de procédé:
− les feux de flaque
− les feux de torche (flammes de chalumeau ou ‘jet fires’)
− les feux de nuage (flash fires)
− les boules de feu
− les feux de substances solides (solid fires)
Un incendie peut former un risque d’accident majeur de différentes façons:
− en causant des dommages aux personnes
− en causant des dommages à l’installation et aux infrastructures dans l’entreprise engendrant une aggravation de l’incendie ou des effets domino internes.
C’est pourquoi il est important non seulement de prendre des mesures pour la protection des personnes, mais aussi d’envisager la protection des équipements, des structures portantes, des bâtiments, du câblage (pour l’alimentation en énergie, le contrôle et la sécurité) et des équipements utilitaires.
Des mesures typiques pour limiter les dommages par incendie sont:
− distances de sécurité entre un porteur de dommages et un possible foyer d’incendie
− des murs coupe-feu afin de compartimenter des bâtiments ou des écrans coupe- feu pour protéger un porteur de dommages contre un possible foyer d’incendie
− couches de protection résistant au feu (‘fire proofing’)
− refroidissement à l’eau
− joints et vannes résistants au feu
− lutte contre le feu.
Une couche de protection ignifuge est une forme de protection passive apportée sur ou autour d’une surface dans le but de limiter l’apport de chaleur vers cette surface, afin d’en retarder ainsi le réchauffement.
Une couche de protection ignifuge peut être réalisée en différentes sortes de matériaux:
− béton
− couches protectrices absorbant la chaleur par sublimation
− couches protectrices qui gonflent lors de l’exposition à la chaleur formant ainsi une couche isolante
− matériaux d’isolation thermique, résistant aux hautes températures et fixés d’une manière résistant au feu
− enveloppes de matériaux absorbant la chaleur (par exemple par libération et vaporisation d’eau).
Une couche de protection ignifuge peut être apposée sur les équipements métalliques (généralement en acier) et sur les structures portantes afin qu’ils conservent plus longtemps leur intégrité lors de l’exposition à la chaleur d’un incendie. L’acier perd en effet sa résistance lors de températures élevées. L’application d’une couche protectrice ignifuge permet de disposer de temps supplémentaire pour combattre et étouffer le feu avant que l’équipement ou la structure portante ne s’effondre. Une couche de protection ignifuge peut également être combinée à un refroidissement à l’eau.
Une couche de protection ignifuge est aussi utilisée pour la protection des câbles électriques et du câblage. Ici aussi, la couche de protection peut prendre différentes formes:
− matériau d’isolation des câbles ignifuge
− couches de protection ignifuges pulvérisées sur les câbles
− feuilles ignifuges enroulées autour des câbles.
Le refroidissement à l’eau peut être réalisé à l’aide de système d’aspersion fixes, des canons à eau fixes ou avec des moyens d’extinction mobiles. Les systèmes d’aspersion fixes présentent l’avantage qu’ils peuvent être mis en action beaucoup plus rapidement et qu’ils n’impliquent pas la présence d’homme dans le voisinage de l’incendie.
Le refroidissement à l’eau est une mesure active dont les trois composants sont:
− détection d’un incendie ou d’une atmosphère inflammable
− décision de mettre en route le refroidissement à l’eau
− le fonctionnement du système d’aspersion d‘eau.
La lutte contre le feu peut uniquement être considérée comme une mesure de protection si la lutte contre le feu est en mesure d’étouffer le feu avant que le porteur de dommage ne flanche. On disposera en principe donc de plus de temps pour attaquer le feu lorsque le porteur de dommage est protégé par une couche protectrice ignifuge que pour un
porteur de dommages non protégé. Les couches de protection ignifuges n’offrent
toutefois pas une protection pendant un temps illimité et elles peuvent uniquement être considérées comme efficaces que si l’on arrive à étouffer le feu dans le laps de temps où elles assurent une protection.
2.7 Protection contre les explosions
Les dommages dus à l’exposition directe des personnes aux explosions peuvent être évités en limitant préventivement la présence des personnes dans les zones présentant un haut danger d’explosion, ou en détectant à temps une atmosphère explosive et en évacuant les personnes de la zone menacée avant qu’une explosion ne survienne.
C’est de plus une pratique courante de protéger les bâtiments contre l’impact des explosions. Les dommages aux bâtiments peuvent occasionner des victimes parmi les personnes présentes ou des dommages aux appareils qui y sont placés.
Pour de nouveaux bâtiments, la résistance contre les explosions peut être intégrée dans la conception. Ci-dessous sont listées quelques modifications possibles qui augmentent la résistance contre des explosions pour un bâtiment existant:
− la couverture des vitres des fenêtres avec un film de sécurité (de manière à ce qu’elles ne se fragmentent plus)
− le remplacement des vitres des fenêtres par du verre de sécurité (polycarbonate ou verre laminé)
− le renforcement des châssis de fenêtre pour éviter que la vitre ne soit soufflée vers l’intérieur
− la prise de mesures pour éviter que les vitres recouvertes d’un film de sécurité ou que le verre de sécurité dans sa totalité ne soit soufflé dans le bâtiment, par exemple en plaçant des barres derrière la fenêtre ou en renforçant les châssis
− la limitation du nombre de fenêtres en remplissant les ouvertures de fenêtres existantes avec un matériau plus résistant aux explosions
− le renforcement des murs, toits et autres éléments structurels, l’ajout de poutres ou de murs porteurs
− le remplacement de portes et de cadres de portes par des types résistants aux explosions
− la fixation des équipements intérieurs (lampes, écrans TV, …) et des meubles
− le placement d’un mur pour protéger un bâtiment contre une onde de pression entrante; de tels murs doivent être placés suffisamment près du bâtiment
− le cloisonnement d’un bâtiment existant dans une structure externe résistant aux explosions.
2.8 Protection contre le contact avec les substances libérées
Nous pouvons faire une distinction entre différents porteurs de dommages:
− des travailleurs (personnel propre ou tiers) qui exercent une activité au cours de laquelle des substances dangereuses peuvent être libérées
− des personnes à l’air libre
− des personnes présentes dans des bâtiments.
Des exemples d’activités au cours desquelles l’exécutant peut entrer en contact avec des substances libérées accidentellement:
− la déconnexion de liaisons flexibles
− la prise d’échantillons
− la purge d’une certaine fraction (“drainer”)
− l’ajout manuel de substances à un réacteur ou à un réservoir de mélange.
Ce sont des activités typiques au cours desquelles des équipements sont ouverts.
Pour les personnes à l’air libre, on pourrait encore faire une distinction entre les personnes dans les zones où il y a une probabilité augmentée d’exposition due à la présence d’équipements avec des substances dangereuses et les personnes dans les zones qui peuvent uniquement être touchées par un grand nuage nuisible qui se déplace vers cette zone.
En ce qui concerne les bâtiments, nous pouvons faire une distinction entre les bâtiments où des substances dangereuses sont présentes (bâtiments de procédé, entrepôts pour substances dangereuses) et les bâtiments qui peuvent uniquement être menacés par un nuage nuisible externe. Pour les bâtiments où une fuite interne peut engendrer une atmosphère nuisible, il faudra réfléchir à des mesures telles que la détection et l’alarme, la limitation de la présence de personnes, l’évacuation à temps et en sécurité. Pour les bâtiments pouvant être menacés par un nuage externe, des mesures pour empêcher que le nuage n’infiltre dans le bâtiment sont à envisager.
Des mesures typiques pour protéger les personnes contre l’exposition aux substances libérées accidentellement sont:
− les équipements de protection individuelle
− la détection, l’alarme et l’évacuation à temps qui en découle (vers une zone sûre, éventuellement un refuge)
− la détection et un avertissement couplé, de ne pas accéder à une certaine zone
− la limitation de la présence de personnes dans certaines zones présentant un risque accru d’exposition
− rendre les bâtiments hermétiques
− la surveillance de la qualité de l’air dans les systèmes de ventilation.
Les EPI seront principalement utilisés préventivement lors de l’exécution de
manipulations opérationnelles lors desquelles des substances dangereuses peuvent être libérées. A l’aide d’EPI, on peut se protéger aussi bien contre des gaz et des vapeurs que contre des liquides. Lors du choix d’une protection respiratoire, il faut tenir compte du fait qu’un travailleur se trouvant près de la source de la fuite, peut être exposé à des concentrations élevées.
Les EPI qui sont utilisés après la libération, doivent permettre d’évacuer en sécurité en dehors de la zone de dangers.
La présence de personnel dans des zones où il existe un risque plus élevé d’une
exposition accidentelle à des substances dangereuses, peut être limitée préventivement à l’aide de procédures internes, d’une organisation du travail et de la signalisation. C’est surtout valable pour des locaux et des bâtiments où des nuages nuisibles peuvent être formés. Pour de tels locaux, une bonne pratique valable d’une manière générale, et dans certains cas une obligation légale, consiste à surveiller l’atmosphère en continu et de donner une alarme lors de concentrations dangereuses aux accès au local. De cette manière, on peut éviter que quelqu’un se rende dans une atmosphère dangereuse.
L’évacuation à temps est une mesure qui peut être prise pour prévenir ou limiter l’exposition à un nuage nuisible. Une évacuation à temps suppose qu’il y ait en premier lieu une détection à temps de la formation d’un nuage nuisible. Les actions que doit prendre le personnel, doivent être clairement définies. Se confiner dans un bâtiment qui est suffisamment protégé de l’air extérieur est en principe meilleur dans le cas d’un nuage nuisible, qu’une évacuation vers un lieu de rassemblement à l’air libre.
Des nuages nuisibles peuvent s’infiltrer à l’intérieur d’un bâtiment via le système
d’aération et ainsi exposer les personnes présentes. Des systèmes de détection peuvent être placés dans le conduit d’aspiration et peuvent être couplés à une alarme et
éventuellement à la mise à l’arrêt automatique de l’aération.
Description de la sécurité interne dans la 3
partie publique du rapport de sécurité
3.1 Méthode de travail suivie pour la maîtrise des déviations de procédé
L’exploitant décrit dans le rapport de sécurité la méthode de travail suivie pour identifier et évaluer les déviations de procédé.
L’identification a lieu typiquement lors d’une analyse des déviations (telle qu’une HAZOP, un What-If, des checklists, PLANOP (dans la version 3: le module consacré à la maîtrise des déviations de procédé)). Il est d’usage de réaliser des analyses des déviations
séparées pour des parties déterminées de l’installation. Le rapport de sécurité mentionne pour chaque partie de l’installation la technique utilisée et la date de l’étude (la plus récente).
Si l’entreprise utilise une méthode d’évaluation formelle (telle que LOPA ou une matrice de risque), cette méthode est mentionnée et les critères décisionnels sont décrits dans le rapport.
L’évaluation peut aussi être basée sur la conformité par rapport à des codes, directives, standards déterminés (par exemple pour des installations type). Dans ces cas-là, ces références sont mentionnées.
3.2 Méthode de travail suivie pour la maîtrise de la dégradation
Le rapport de sécurité décrit la méthode de travail suivie pour établir les programmes d’inspection pour les enveloppes. En d’autres mots, il est décrit comment l’on procède pour déterminer la nature et la fréquence des inspections des enveloppes.
Des éléments typiques de cette méthode de travail sont:
− l’application des standards internes ou externes pour l’inspection des tuyauteries, des équipements sous pression, des réservoirs de stockage atmosphériques.
− des informations spécifiques provenant de banques de données sur le
comportement corrosif des substances présentes en contact avec les matériaux de construction choisis
− des informations recueillies auprès des fournisseurs de substances ou de matériaux
− l’avis de certains spécialistes (internes ou externes à l’entreprise) sur le plan des matériaux et des phénomènes de corrosion
− expériences propres avec le comportement des matériaux de construction lors de certaines conditions de procédé.
Si l’entreprise utilise le RBI (‘Risk Based Inspection’) pour déterminer les intervalles d’inspection, la méthode suivie est brièvement décrite. Les éventuels critères d’évaluation pour estimer les risques sont décrits.
3.3 Méthode de travail suivie pour limiter les libérations accidentelles
Le rapport décrit de quelle manière l’entreprise a analysé la nécessité de prendre des mesures pour limiter des libérations accidentelles. Des éléments de cette méthode de travail peuvent être:
− des directives internes pour le placement de vannes d’urgence
− des standards et des codes de bonne pratique suivis (soit des standards généraux, soit des standards spécifiques pour le stockage de certaines substances)
− les études de sécurité réalisées dans lesquelles l’arrêt ou la limitation des fuites ont été abordés explicitement.
3.4 Méthode de travail suivie pour la gestion de la dispersion des substances et de l’énergie libérées
Le rapport décrit de quelle manière l’entreprise a analysé la nécessité de prendre des mesures pour limiter la dispersion de substances ou d’énergie libérées accidentellement.
Des éléments de cette méthode de travail peuvent être:
− l’application de réglementations régionales et fédérales
− les standards ou les codes de bonne pratique suivis
− les études de sécurité réalisées dans lesquelles la dispersion de substances ou d’énergie libérées accidentellement a été abordée explicitement.
3.5 Méthode de travail suivie pour éviter les sources d’inflammation
Le rapport décrit de quelle manière l’entreprise a analysé la nécessité de prendre des mesures pour éviter l’inflammation d’atmosphères explosives.
Des éléments de cette méthode de travail sont par exemple:
− le classement en zones (conformément à l’‘AR ATEX social’)
